Fusión de 3 vías en werf: despliegue en Kubernetes con Helm "con esteroides"

Algo sucedió que nosotros (y no solo nosotros) hemos estado esperando: werf , nuestra utilidad de código abierto para crear aplicaciones y entregarlas a Kubernetes, ¡ahora admite la aplicación de cambios utilizando parches de combinación de 3 vías! Además de esto, se hizo posible adoptar los recursos K8 existentes en las versiones de Helm sin volver a crear estos recursos.



Si es muy corto, configure WERF_THREE_WAY_MERGE=enabled : obtenemos la implementación "como en kubectl apply ", compatible con las instalaciones existentes en Helm 2 e incluso un poco más.

Pero comencemos con la teoría: ¿qué son los parches de fusión de 3 vías en general, cómo llegaron las personas al enfoque con su generación y por qué son importantes en los procesos de CI / CD con infraestructura basada en Kubernetes? Y después de eso, veamos qué es la combinación de 3 vías en werf, qué modos se usan por defecto y cómo administrarlo.

¿Qué es un parche de fusión de 3 vías?

Entonces, comencemos con la tarea de desplegar los recursos descritos en los manifiestos de YAML en Kubernetes.

Para trabajar con recursos, la API de Kubernetes ofrece las siguientes operaciones básicas: crear, parchar, reemplazar y eliminar. Se supone que con su ayuda es necesario construir un despliegue continuo conveniente de recursos para el clúster. Como?

Equipos de kubectl imperativo

El primer enfoque para administrar objetos en Kubernetes es usar los imperativos comandos kubectl para crear, modificar y eliminar estos objetos. En pocas palabras:

• kubectl run comando kubectl run puede ejecutar Deployment o Job:
  
  

   kubectl run --generator=deployment/apps.v1 DEPLOYMENT_NAME --image=IMAGE 

• kubectl scale : cambie el número de réplicas:
  
  

   kubectl scale --replicas=3 deployment/mysql 

• etc.

Tal enfoque puede parecer conveniente a primera vista. Sin embargo, hay problemas:

1. Es difícil de automatizar .
2. ¿Cómo reflejar la configuración en Git? ¿Cómo revisar los cambios que ocurren en un clúster?
3. ¿Cómo asegurar la reproducibilidad de la configuración al reiniciar?
4. ...

Está claro que este enfoque no encaja bien con el almacenamiento de la aplicación y la infraestructura como código (IaC; o incluso GitOps como una opción más moderna, ganando popularidad en el ecosistema de Kubernetes) con el código. Por lo tanto, estos equipos no recibieron más desarrollo en kubectl.

Crear, obtener, reemplazar y eliminar operaciones

Con la creación primaria , todo es simple: enviamos el manifiesto a la operación de create de kube api y se crea el recurso. La representación YAML del manifiesto se puede almacenar en Git, y para crear, use el kubectl create -f manifest.yaml .

La eliminación también es simple: sustituimos el mismo manifest.yaml de Git en el kubectl delete -f manifest.yaml .

La operación de replace permite reemplazar completamente la configuración del recurso con una nueva, sin volver a crear el recurso. Esto significa que antes de realizar un cambio en un recurso, es lógico solicitar la versión actual con la operación de get , cambiarla y actualizar con la operación de replace . El bloqueo optimista está integrado en el kiser apiserver, y si el objeto ha cambiado después de la operación de get , la operación de replace fallará.

Para almacenar la configuración en Git y actualizar usando replace, debe realizar una operación get , mantener la configuración de Git con lo que obtuvimos y realizar replace . Normalmente, kubectl solo le permite usar el kubectl replace -f manifest.yaml , donde manifest.yaml es el manifest.yaml totalmente preparado (en nuestro caso, adjunto) que necesita ser instalado. Resulta que el usuario necesita implementar manifiestos de fusión, pero este no es un asunto trivial ...

También vale la pena señalar que, aunque manifest.yaml está almacenado en Git, no podemos saber de antemano si necesitamos crear un objeto o actualizarlo; esto debería hacerlo el software del usuario.

En pocas palabras: ¿podemos construir un despliegue continuo solo con crear, reemplazar y eliminar, asegurando que la configuración de la infraestructura se almacene en Git junto con el código y un conveniente CI / CD?

Básicamente, podemos ... Para hacer esto, necesitamos implementar la operación de fusión de los manifiestos y algún tipo de enlace que:

• comprueba la presencia de un objeto en el clúster,
• realiza la creación inicial del recurso,
• lo actualiza o lo elimina.

Al actualizar, debe tener en cuenta que el recurso puede haber cambiado desde la última vez y manejar automáticamente el caso de bloqueo optimista: realice intentos repetidos para actualizar.

Sin embargo, ¿por qué reinventar la rueda cuando kube-apiserver ofrece otra forma de actualizar recursos: la operación de patch , que elimina algunos de los problemas descritos por el usuario?

Parche

Entonces llegamos a los parches.

Los parches son la forma principal de aplicar cambios a los objetos existentes en Kubernetes. La operación de patch funciona para que:

• El usuario de kube-apiserver necesita enviar el parche en formato JSON y especificar el objeto,
• y el mismo servidor se ocupará del estado actual del objeto y lo llevará a la forma deseada.

El bloqueo optimista en este caso no es necesario. Esta operación es más declarativa en comparación con reemplazar, aunque al principio puede parecer al revés.

De esta manera:

• usando la operación de create , creamos un objeto desde el manifiesto de Git,
• usando delete - delete si el objeto ya no es necesario,
• usando patch : modificamos el objeto, llevándolo al formulario descrito en Git.

Sin embargo, para hacer esto, debe crear el parche correcto .

Cómo funcionan los parches en Helm 2: combinación de 2 vías

La primera vez que se instala una versión, Helm realiza una operación de create en los recursos del gráfico.

Al actualizar la versión de Helm para cada recurso:

• cuenta el parche entre la versión del recurso del gráfico anterior y la versión actual del gráfico,
• aplica este parche

Llamaremos a ese parche parche de fusión de 2 vías , porque 2 manifiestos participan en su creación:

• Manifiesto de recursos de la versión anterior,
• El manifiesto del recurso del recurso actual.

Al eliminar, se llama a la operación de delete en kube apiserver para los recursos que se declararon en la versión anterior pero que no se declararon en la versión actual.

El enfoque con el parche de fusión de 2 vías tiene un problema: conduce a una desincronización del estado real del recurso en el clúster y el manifiesto en Git .

Un ejemplo de un problema.

• En Git, un manifiesto se almacena en el gráfico en el que el campo image implementación tiene el valor de ubuntu:18.04 .
• El usuario a través de kubectl edit cambió el valor de este campo a ubuntu:19.04 .
• Cuando vuelve a implementar el gráfico, Helm no genera un parche , porque el campo de image en la versión anterior de la versión y en el gráfico actual son los mismos.
• Después del despliegue repetido de la image , ubuntu:19.04 permanece, aunque ubuntu:18.04 está escrito en la tabla.

Obtuvimos desincronización y perdimos declaratividad.

¿Qué es un recurso sincronizado?

En términos generales, es imposible obtener una coincidencia completa entre un manifiesto de recursos en un clúster en ejecución y un manifiesto de Git. Debido a que en el manifiesto real puede haber anotaciones / etiquetas de servicio, contenedores adicionales y otros datos agregados y eliminados dinámicamente por algunos controladores del recurso. No podemos y no queremos mantener estos datos en Git. Sin embargo, queremos que cuando se despliegue, los campos que especificamos explícitamente en Git tomen los valores apropiados.

Resulta esta regla general de un recurso sincronizado : cuando despliega un recurso, puede cambiar o eliminar solo aquellos campos que se especifican explícitamente en el manifiesto de Git (o se registraron en la versión anterior, pero ahora se eliminan).

Parche de fusión de 3 vías

La idea principal del parche de combinación de 3 vías : generamos un parche entre la última versión aplicada del manifiesto de Git y la versión de destino del manifiesto de Git, teniendo en cuenta la versión actual del manifiesto del clúster de trabajo. El parche final debe cumplir con la regla de recursos sincronizados:

• los nuevos campos agregados a la versión de destino se agregan usando el parche;
• los campos previamente existentes en la última versión aplicada y no existentes en el campo de destino se restablecen usando el parche;
• Los campos en la versión actual del objeto que difieren de la versión de destino del manifiesto se actualizan utilizando el parche.

Es por este principio que se generan parches de kubectl apply :

• la última versión aplicada del manifiesto se almacena en la anotación del objeto mismo,
• target: tomado del archivo YAML especificado,
• actual: de un clúster de trabajo.

Ahora que hemos descubierto la teoría, es hora de contarte lo que hicimos en werf.

Aplicar cambios a werf

Anteriormente, werf, como Helm 2, usaba parches de fusión de 2 vías.

Parche de reparación

Para cambiar a un nuevo tipo de parches, fusión de 3 vías, el primer paso fue la introducción de los llamados parches de reparación .

Cuando se implementa, se usa el parche estándar de combinación de 2 vías, pero werf adicionalmente genera un parche que sincroniza el estado real del recurso con lo que está escrito en Git (dicho parche se crea usando la misma regla de recursos sincronizados descrita anteriormente).

En el caso de un rassynchron, al final de la implementación, el usuario recibe una ADVERTENCIA con el mensaje y el parche apropiados, que deben aplicarse para llevar el recurso a una forma sincronizada. Además, este parche se graba en una anotación especial werf.io/repair-patch . Se supone que el usuario mismo aplicará este parche con las manos: werf no lo aplicará en principio.

La generación de parches de reparación es una medida temporal que le permite probar realmente la creación de parches según el principio de la fusión de 3 vías, pero no aplique estos parches automáticamente. Por el momento, este modo de operación está habilitado por defecto.

Parche de combinación de 3 vías solo para nuevos lanzamientos

A partir del 1 de diciembre de 2019, las versiones beta y alfa de werf comienzan por defecto a usar parches completos de combinación de 3 vías para aplicar cambios solo para las nuevas versiones de Helm implementadas a través de werf. Las versiones existentes continuarán utilizando el enfoque de parche de reparación de combinación de 2 vías.

Puede habilitar este modo de operación explícitamente estableciendo WERF_THREE_WAY_MERGE_MODE=onlyNewReleases ahora.

Nota : la función apareció en werf durante varios lanzamientos: en el canal alfa se preparó a partir de la versión v1.0.5-alpha.19 , y en el canal beta con v1.0.4-beta.20 .

Parche de combinación de 3 vías para todos los lanzamientos

A partir del 15 de diciembre de 2019, las versiones beta y alfa de werf comienzan a usar parches completos de combinación de 3 vías de forma predeterminada para aplicar cambios en todas las versiones.

Este modo de operación se puede WERF_THREE_WAY_MERGE_MODE=enabled explícitamente estableciendo WERF_THREE_WAY_MERGE_MODE=enabled ahora.

¿Qué hacer con los recursos de escalado automático?

Kubernetes tiene 2 tipos de autoescalado: HPA (horizontal) y VPA (vertical).

Horizontal selecciona automáticamente el número de réplicas, vertical: el número de recursos. Tanto el número de réplicas como los requisitos de recursos se especifican en el manifiesto de recursos (consulte spec.replicas o spec.containers[].resources.limits.cpu , spec.containers[].resources.limits.memory y otros ).

Problema: si un usuario configura un recurso en el gráfico para que muestre valores específicos para recursos o réplicas y los autoescaladores estén habilitados para este recurso, entonces con cada despliegue werf restablecerá estos valores a lo que está escrito en el manifiesto del gráfico.

Hay dos soluciones al problema. Para empezar, es mejor descartar especificando explícitamente los valores de autoescala en el manifiesto del gráfico. Si por alguna razón esta opción no encaja (por ejemplo, porque es conveniente establecer los límites de recursos iniciales y el número de réplicas en el gráfico), werf ofrece las siguientes anotaciones:

• werf.io/set-replicas-only-on-creation=true
• werf.io/set-resources-only-on-creation=true

Si tal anotación está presente, werf no restablecerá los valores correspondientes en cada implementación, sino que solo los establecerá en la creación inicial del recurso.

Para obtener más información, consulte la documentación del proyecto para HPA y VPA .

Negar el uso del parche de fusión de 3 vías

El usuario aún puede prohibir el uso de nuevos parches en werf utilizando la variable de entorno WERF_THREE_WAY_MERGE_MODE=disabled . Sin embargo, a partir del 1 de marzo de 2020, esta prohibición dejará de funcionar y solo será posible usar parches de fusión de 3 vías.

Adopción de recursos en werf

El dominio del método de aplicación de cambios en parches de fusión de 3 vías nos permitió implementar de inmediato una característica como la adopción de recursos existentes en el clúster en la versión Helm.

Helm 2 tiene un problema: no puede agregar un recurso a un manifiesto de gráfico que ya existe en el clúster sin volver a crear este recurso desde cero (consulte # 6031 , # 3275 ). Enseñamos a werf a aceptar los recursos existentes en un comunicado. Para hacer esto, debe establecer una anotación en la versión actual del recurso desde un clúster en ejecución (por ejemplo, usando kubectl edit ):

 "werf.io/allow-adoption-by-release": RELEASE_NAME 

Ahora, el recurso debe describirse en el gráfico y, en el próximo despliegue, mediante el lanzamiento de werf del lanzamiento con el nombre correspondiente, el recurso existente será aceptado en este lanzamiento y permanecerá bajo su control. Además, en el proceso de aceptar el recurso para su liberación, werf traerá el estado actual del recurso desde el clúster de trabajo al estado descrito en el gráfico utilizando los mismos parches de combinación de 3 vías y la regla de recursos sincronizados.

Nota : la configuración de WERF_THREE_WAY_MERGE_MODE no afecta la adopción de recursos; en el caso de la adopción, siempre se usa un parche de fusión de 3 vías.

Los detalles están en la documentación .

Conclusiones y planes futuros

Espero que después de este artículo se haya aclarado qué son los parches de combinación de 3 vías y por qué vinieron a ellos. Desde un punto de vista práctico del desarrollo del proyecto werf, su implementación fue otro paso hacia la mejora de la implementación similar a Helm. Ahora puede olvidarse de los problemas con la sincronización de la configuración, que a menudo ocurrían al usar Helm 2. Al mismo tiempo, se agregó una nueva característica útil de la adopción de los recursos de Kubernetes ya cargados en la versión de Helm.

Todavía hay algunos problemas y dificultades en la implementación similar a Helm, como el uso de plantillas Go, y continuaremos resolviéndolos.

También se puede encontrar información sobre métodos de actualización de recursos y adopción en esta página de documentación .

Timón 3

Una nota especial es digna de la nueva versión principal lanzada recientemente de Helm, v3, que también usa parches de combinación de 3 vías y elimina Tiller. La nueva versión de Helm requiere la migración de las instalaciones existentes para convertirlas en un nuevo formato de almacenamiento de lanzamiento.

Werf, por su parte, ahora ha eliminado el uso de Tiller, cambió a la combinación de 3 vías y agregó mucho más , sin dejar de ser compatible con las instalaciones existentes en Helm 2 (no se necesitan scripts de migración). Por lo tanto, hasta que werf se cambie a Helm 3, los usuarios de werf no perderán las principales ventajas de Helm 3 sobre Helm 2 (también existen en werf).

Sin embargo, cambiar werf a la base de código Helm 3 es inevitable y sucederá en un futuro próximo. Presumiblemente será werf 1.1 o werf 1.2 (en este momento, la versión principal de werf es 1.0; para más detalles sobre el dispositivo de versiones de werf, consulte aquí ). Durante este tiempo, Helm 3 tendrá tiempo para estabilizarse.

PS

Lea también en nuestro blog:

• Una serie de notas sobre innovaciones en werf:
  
  • " Uso de werf para desplegar gráficos complejos de Helm ";
  • " Soporte para monorepo y multirepo en werf y qué tiene que ver el Registro de Docker con él ";
  • " Ahora puede construir imágenes Docker en werf utilizando el Dockerfile habitual ".
• " Werf es nuestra herramienta de CI / CD en Kubernetes (revisión e informe de video) ";
• " Montaje y despliegue del mismo tipo de microservicios con werf y GitLab CI ";
• " Presentación de Helm 3. "